本發(fā)明公開了一種針對(duì)HTTP Flood攻擊的防護(hù)方法及系統(tǒng)，該方法包括：確定每個(gè)統(tǒng)計(jì)時(shí)間間隔內(nèi)接收到的防護(hù)設(shè)備發(fā)送的HTTP請(qǐng)求的數(shù)量，其中，所述HTTP請(qǐng)求包括由一個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求和由多個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求；當(dāng)在任一統(tǒng)計(jì)時(shí)間間隔內(nèi)接收到的HTTP請(qǐng)求的數(shù)量達(dá)到第一閾值之后，驗(yàn)證目標(biāo)HTTP請(qǐng)求，其中所述目標(biāo)HTTP請(qǐng)求包括達(dá)到所述第一閾值之后接收到的HTTP請(qǐng)求；響應(yīng)通過驗(yàn)證的目標(biāo)HTTP請(qǐng)求。在本發(fā)明實(shí)施例中，服務(wù)器具備防護(hù)功能，并能夠驗(yàn)證防護(hù)設(shè)備無法驗(yàn)證的HTTP請(qǐng)求，即由多個(gè)數(shù)據(jù)包重組得到的HTTP請(qǐng)求，而防護(hù)設(shè)備能夠驗(yàn)證由一個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求，服務(wù)器與防護(hù)設(shè)備相互配合，從而提高防護(hù)效果。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，特別涉及一種針對(duì)HTTP Flood攻擊的防護(hù)方法及系統(tǒng)。

背景技術(shù)

超文本傳輸協(xié)議洪水(Hyper Text Transfer Protocol Flood，HTTP Flood)攻擊是一種主要針對(duì)服務(wù)器進(jìn)行攻擊的方式。目前，針對(duì)HTTP Flood攻擊的防護(hù)方法是在客戶端與服務(wù)器中間設(shè)置防護(hù)設(shè)備，當(dāng)客戶端與服務(wù)器建立傳輸控制協(xié)議(TransmissionControl Protocol，TCP)連接后，客戶端可以向服務(wù)器發(fā)送HTTP請(qǐng)求，防護(hù)設(shè)備在獲取到所述HTTP請(qǐng)求后，對(duì)HTTP請(qǐng)求進(jìn)行驗(yàn)證，驗(yàn)證通過后向服務(wù)器發(fā)送HTTP請(qǐng)求，否則進(jìn)行攔截，從而防止攻擊端發(fā)送的HTTP請(qǐng)求攻擊服務(wù)器。

但是，防護(hù)設(shè)備通常只能解析出由一個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求，而當(dāng)同一個(gè)HTTP請(qǐng)求由多個(gè)數(shù)據(jù)包承載時(shí)，也就是說，當(dāng)同一個(gè)HTTP請(qǐng)求分布于多個(gè)數(shù)據(jù)包中時(shí)，無法對(duì)這些數(shù)據(jù)包進(jìn)行完整解析，也就無法從這些數(shù)據(jù)包中解析出完整的HTTP請(qǐng)求。防護(hù)設(shè)備通常將這些無法解析的數(shù)據(jù)包直接轉(zhuǎn)發(fā)給服務(wù)器，又由于由多個(gè)數(shù)據(jù)包組成的同一個(gè)HTTP請(qǐng)求可能是有攻擊的請(qǐng)求，所以容易導(dǎo)致服務(wù)器受到攻擊。

發(fā)明內(nèi)容

為了解決現(xiàn)有技術(shù)的問題，本發(fā)明實(shí)施例提供了一種針對(duì)HTTP Flood攻擊的防護(hù)方法及系統(tǒng)。所述技術(shù)方案如下：

第一方面，提供了一種針對(duì)HTTP Flood攻擊的防護(hù)方法，所述方法應(yīng)用于服務(wù)器中，所述方法包括：

確定每個(gè)統(tǒng)計(jì)時(shí)間間隔內(nèi)接收到的防護(hù)設(shè)備發(fā)送的HTTP請(qǐng)求的數(shù)量，其中，所述HTTP請(qǐng)求包括由一個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求和由多個(gè)數(shù)據(jù)包承載的HTTP請(qǐng)求；

當(dāng)在任一統(tǒng)計(jì)時(shí)間間隔內(nèi)接收到的HTTP請(qǐng)求的數(shù)量達(dá)到第一閾值之后，驗(yàn)證目標(biāo)HTTP請(qǐng)求，其中所述目標(biāo)HTTP請(qǐng)求包括達(dá)到所述第一閾值之后接收到的HTTP請(qǐng)求；

響應(yīng)通過驗(yàn)證的目標(biāo)HTTP請(qǐng)求。

可選的，所述驗(yàn)證目標(biāo)HTTP請(qǐng)求，包括：

確定所述目標(biāo)HTTP請(qǐng)求中是否包含驗(yàn)證信息；

當(dāng)所述目標(biāo)HTTP請(qǐng)求中不包含所述驗(yàn)證信息時(shí)，向發(fā)送所述目標(biāo)HTTP請(qǐng)求的客戶端發(fā)送所述驗(yàn)證信息；

當(dāng)所述目標(biāo)HTTP請(qǐng)求中包含所述驗(yàn)證信息時(shí)，驗(yàn)證所述驗(yàn)證信息是否正確。

可選的，所述驗(yàn)證目標(biāo)HTTP請(qǐng)求，還包括：

確定每個(gè)統(tǒng)計(jì)時(shí)間間隔內(nèi)接收到的每個(gè)源地址對(duì)應(yīng)的目標(biāo)HTTP請(qǐng)求的數(shù)量；

當(dāng)同一源地址對(duì)應(yīng)的目標(biāo)HTTP請(qǐng)求的數(shù)量達(dá)到第二閾值之后，丟棄達(dá)到所述第二閾值之后接收到的所述同一源地址對(duì)應(yīng)的目標(biāo)HTTP請(qǐng)求。

可選的，當(dāng)同一源地址對(duì)應(yīng)的目標(biāo)HTTP請(qǐng)求的數(shù)量達(dá)到第二閾值之后，還包括：

向所述防護(hù)設(shè)備發(fā)送所述同一源地址，以使所述防護(hù)設(shè)備丟棄所述同一源地址對(duì)應(yīng)的目標(biāo)HTTP請(qǐng)求。

可選的，所述驗(yàn)證目標(biāo)HTTP請(qǐng)求，還包括：